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Zero Trust 网 路 存 取 


Cloudflare Zero Trust， 特 别 是 Access， 可 提高 转 队 生产 力 站 降低 
风险， 因为 所 有 使 用 者 都 可 存 取 您 的 自 话 管 、Saas 或 非 Web 应 用 
程式 ， 而 无 需 使 用 VPN 。 


为 混合 式 工 作 提供 简单 安全 的 存 取 


网 际 网 路 原生 Zero Trust 网 路 存 取 (ZTNA) 解决 与 使 用 VPN 相关 的 下端 
如 今 的 分 散 式 工作 环境 要 求 探 用 分 散 式 安全 方法 。 这 界 ] 存 取 支援 工 单 花 费 的 平均 时 间 


减少 : 


不 复 存 在 ， 因 此 ， 传统 的 这 端 存 取 解 决 方案 (如 VPN) 乱 法 
满足 现代 网 路 安全 或 效能 预期 。 


ZTNA 透 过 不 断 地 逐个 次 源 检 查 精细 环境 〈 如 身分 识别 和 装 与 以 前 的 厂商 相 比 ， 和 节省 的 每 月 
置 状 驴 ) ， 和 无 论 装 置 和 位 置 为 何 ， 都 能 在 任何 使 用 者 与 应 用 原则 设 定 持续 时 间 1 


程式 之 问 提供 简单 安全 的 存 取 。 使 用 全 新 的 方法 后 ， 网 路 安 
全 与 使 用 者 体验 之 间 不 再 需要 [平衡 行为 ] 。ZTNA 可 同时 
提升 二 者 来 支援 您 的 业务 。 


对 简化 员工 和 承包 商 的 验证 体验 
它 还 可 让 组 织 更 加 敏捷 ， 能 锡 更 好 地 应 对 弧 化 ， 无 论 是 云端 产生 的 重大 影响 1 
还 移 、 儒 购 活动 还 是 快速 创新 和 扩展 。Cloudflare 是 零 信任 
或 网 路 安全 现代 化 策略 的 核心 ， 能 金 在 我 们 可 程式 化 的 全 球 
连通 去 上 提供 ZTNA 。 


为 您 的 业务 提供 现代 化 存 取 


ss 9 
增强 使 用 者 体验 消除 横向 移动 轻 轰 扩展 Zero Trust 


厌 助 现代 化 网 路 安全 ， 让 内 部 部 署 。” 透 过 授予 每 项 资源 以 相关 内 容 为 基 。 ” 茜 由 保 访 关 键 应 用 程式 或 风险 最 高 
应 用 程式 感觉 就 像 SaaS 应 用 程式 。 ” 磷 的 最 低 权 限 存 取 ， 而 非 网 路 层级 。 的 使 用 者 群 组 ， 然 后 扩展 网 际 网 路 
一 样 ， 进 而 提升 团队 生产 力 。 淘 汰 。 存 取 ， 来 降低 网 路 风险， 缩小 受 攻 原生 ZTNA 来 保 访 整个 企业 ， 进 而 
缓慢 而 笨拙 的 VPN， 员 工 不 再 投诉 。 。” 击 面 。 提高 技术 效率 。 
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Access 的 主要 使 用 案例 
安全 的 混合 式 工作 


真 VPN 扩充 与 取代 一 Access 比 传统 的 VPN 更 快 更 安全 。 
开始 外 载 关键 应 用 程式 ， 以 猎 得 更 好 的 安全 性 和 终端 
使 用 者 朵 上 验 。 

让 承包 商 存 取 -- 藉 助 扰 用 户 端 选项 、 社 交 1IDP 等 来 验证 
协力 厂商 使 用 者 (如 承包 商 ) 。 

。 开发 人 员 存 取 一 让 特殊 权限 技术 使 用 者 能 多 安全 存 取 
关键 基础 架构 ， 而 无 需 各 牲 效能 。 


VPN 扩充 和 与 取代 入 门 


实现 数位 现代 化 


e 加 速 合作 和 收购 一 完全 避免 传统 的 网 路 合 伴 。 和 与 多 个 
IdP 整合 ， 在 儒 购 期 间 提 供 每 个 应 用 程式 的 内 部 存 取 。 

。 云端 迁移 一 在 转换 期 间 〈 例 如 ， 将 应 用 程式 或 身分 目 
朱 脖 移 至 云端 ) 保持 业务 连续 性 。 

。 防 网 路 钓鱼 攻击 的 MFA 一 随时 随地 推出 增强 式 验 证 ， 
如 符合 FIDO2 规范 的 安全 金 锡 。 


优先 安排 关键 应 用 程式 或 有 风险 的 使 用 者 进行 ZTNA 试点 ， 以 扩充 您 的 VPN。 针 对 Web 应 用 程式 或 浏览 器 内 SSH， 使 用 
无 用 户 端 存 取 以 加 快 测试 。 随 著 时 间 的 推移 ， 揉 用 进 阶 功能 以 转向 完全 取代 VPN ， 站 随 著 网 路 转换 保持 动态 可 见 性 。 


从 VPN 御 载 优先 应 用 程式 


将 您 的 内 部 应 用 
程式 连 线 至 


整合 身分 识别 和 设 定 Zero Trust 
Cloudflare 的 端点 保护 规则 


承包 商 (协力 厂商 ) 存 取 入 门 


提供 顺 蝎 的 使 用 者 体验 ， 同 时 组 解 来 自 未 受 管 装置 的 风险 。 为 承包 商 设 定 简单 的 验证 选项 一 无 


时 间 的 推移 ， 揉 用 人 进 阶 功 能 以 进一步 运用 资料 保护 。 


使 用 扰 用 户 端 存 取 来 快速 连 线 协力 厂商 使 用 者 


识别 协力 厂商 使 
用 者 必须 存 取 的 


将 多 层 单 一 登入 
与 社交 IdP 或 一 
次 性 Pin 码 整 合 


为 外 部 协作 者 设 
定 零 信任 规则 


试点 应 用 程式 


* 疮 Zero Trust 严 巴 的 纂 1 部 分 们 妥 了 W 雍 
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立即 测试 无 用 户 
端 存 取 


立即 测试 无 用 上 和 
端 存 取 | 车 器 中 


转向 完全 取代 VPN* 


指向 内 部 IP 和 
主机 名 称 的 内 部 
DNS 解析 程式 


透 过 私人 网 路 
影子 IT 探索 保 
持 可 见 度 


需 终端 使 用 者 软体 。 随 著 


隔离 应 用 程式 以 获得 更 进一步 的 资料 保 访 * 


在 超 低 延 还 的 套用 广泛 的 DLP ， 
如 封锁 复 披 / 贴 上 


或 上 传 /下载 


让 端 温 
隔离 应 用 程式 
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Access 运作 方式 


Cloudflare Access 是 一 个 霆 活 的 莫 纺 层 ， 它 不 断 地 区 证 精细 环境 〈 如 身分 识别 和 装置 状态 ) ， 来 
个 别提 供 对 组 织 所 有 资源 简单 且 安全 的 存 取 ， 和 从 而 建立 软体 定义 的 边界 。 当 使 用 者 进行 验证 站 符合 
所 有 存 取 原 则 准则 时 ，Access 会 核发 一 个 已 签名 的 JSJON Web 权 杖 ， 在 指定 的 工作 阶段 持续 时 间 
内 有 有效。 我们 透 过 组 合式 平台 对 所 有 使 用 者 要 求 执 行 单 志 检查 ， 逆 且 由 於 我 们 独特 的 Anycast 网 路 
架构 ， 只 需 短 短 数秒 ， 我 们 的 集中 式 原 则 管理 删 验 就 会 让 原则 释 更 在 全 球 和 范围 内 激增 。 


统一 的 无 用 户 端 和 基 於 用 户 端的 作业 可 处理 所有 装置 类 型 。 我 们 针对 所 有 零 信 任 服务 使 用 一 个 装置 
用 户 端 ， 它 会 对 我 们 的 网 路 流量 进行 加 密 ， 来 维 访 客户 资料 的 隐私 权 。 我 们 还 透 过 无 用 户 端 设 定 ， 

提供 对 企业 外 部 装置 简单 且 安 全 的 存 取 。 我 们 的 ZTNA、DNS 与 市 场 领 先 的 WAF 和 DDoS 保护 服 

务 协同 合作 ， 共 同 建立 逆 保 访 悦 力 有 厂商 使 用 者 和 混合 员工 在 任意 装置 上 都 可 存 取 的 公共 主机 名 称 。 
我 们 的 无 使 用 者 验证 选项 ( 权 杖 或 mTLS 瓶 证 ) 还 解决 了 自动 化 服务 和 loT 装置 的 使 用 案例 。 


对 於 零 信 任 控制 ， 资 源 会 使 用 公共 主机 名 称 反 向 代理 自 旗 管 应 用 程式 (云端 /内 部 部 署 ) 或 浏览 器 内 

SSH/VNC、 身 分 识别 代理 SaaS 应 用 程式 ， 或 基 於 用 户 端 /通道 的 私人 路 由 透 过 第 4-7 层 正 向 代理 私 
有 子 网 内 的 任何 Web 或 非 Web 〈 例 如 ， 任 意 TCP/UDP) 资源 。 我 们 的 全 球 网 路 与 应 用 程式 连接 器 
软体 相 结 合 ， 支 援 任何 运算 环境 (包括 Kubernetes 和 容器 在 内 的 公有 云端 或 者 传统 的 内 部 部 署 

网 路 资源 ) ， 既 不 需要 VM 基础 架构 ， 也 没有 输送 量 限制 ， 这 与 其 他 零 信任 厂商 是 不 同 的 。 


协力 厂商 身分 识别 、 端 点 、 网 路 入 口 、 记 锁 / 分 析 和 SIEM 工具 与 我 们 的 装置 用 户 端 和 分 析 的 原生 选 
项 一 起 整合 到 我 们 的 仪表 板 中 ， 让 管理 员 能 锡 保 持 敏 捷 ， 普 在 他 们 已 经 使 用 的 工具 基础 上 进行 构建 。 


p_i 
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Access 是 Cloudflare 的 SSE 和 SASE 平台 的 一 部 分 


四 然 SSE 和 SASE 通常 涉及 多 年 的 策略 旅程 ， 但 Cloudflare 经 常 看 到 组 织 从 ZTNA 开始 ， 因 为 ZTNA 
不 仅 包 含 IT 转 队 可 执行 且 可 和 达成 的 步 肢 ， 还 展示 出 了 显著 的 短期 商业 价值 。IT 领导 者 寻求 在 整合 
过 程 中 保 访 混合 式 工作 、 抵 亿 威 悔 以 及 保 访 资料 ， 因 此 越 来 越 多 地 选择 Cloudflare 作为 他 们 信任 的 
合作 园 伴 。 


得 藉 Cloudflare 的 部 署 露 活性 和 可 组 合 架构 ， 任 何 组 织 都 能 铭 保 访 站 加 速 装置 、 应 用 程式 乃至 整个 网 
路 的 效能 ， 和 从 而 确保 安全 高 效 的 混合 式 工作 。 为 此 ， 我 们 支援 适用 於 终端 使 用 者 的 扰 代 理 程式 人 * 设 、 
用 於 阻止 不 安全 流量 的 无 用 户 端 Web 隔离 ， 以 及 统一 的 管理 仪表 板 ， 和 无 论 管 理 贞 或 使 用 者 从 哪里 
连 线 ， 都 能 查看 所 有 安全 性 和 网 路 服务 。Cloudflare 全 球 网 路 的 广度 支援 在 更 靠近 终端 使 用 者 的 位 
置 强制 实施 安全 性 ， 和 从 而 最 大 程度 降低 了 延 束 ， 芷 提供 流 蝎 的 员工 体验 。 我 们 的 Anycast 架构 有 助 
於 绕 过 网 际 网 路 中 断 ， 从 而 确保 团队 连 线 以 及 业务 持续 性 。 


使 用 我 们 统一 的 SSE 和 SASE 平台 ， 在 ZTNA、CASB、DLP 和 SWG 原则 之 间 共 用 环境 有 助 认 增强 
安全 状态 ， 同 时 透 过 一 致 的 管理 员工 作 流 程 来 简化 实 作 。 相 同 的 身分 识别 和 装置 状态 属性 可 以 通知 
ZTNA 和 CASB 的 存 取 原 则 以 及 SWG 原则 ， 从 而 简化 组 织 间 的 原则 管理 。 


ZTNA、RBI 和 电子 邮件 安全 性 也 可 以 一 起 使 用 ， 从 而 有 休 件 地 存 取 资 源 ， 同 时 让 使 用 者 免 受 在 电子 
邮件 和 协作 工具 中 看 到 的 恶意 内 容 (连结 、 附 件 ) 的 影响 。 未 受 管 装置 上 的 承包 商 和 使 用 者 可 以 有 

限 地 存 取 企 业 资 源 、 透 过 停 用 使 用 者 互动 〈 例 如 ， 上 传 / 下 载 、 复 和 / 贴 上 、 键 盘 输 入 ) 来 防止 资料 

遭受 入 侵 ， 疗 可 套用 其 他 第 7 层 DLP 原则 来 债 测 敏感 性 资料 。 


Cloudflare Cloudfla 并 Cloudflare One 服务 


RN 2 单一 控制 平面 与 介面 
免 用 户 端 存 取 一 二 
~ Tr {tv} 
Zero Trust 云端 存 取 安 全 性 
网 路 存 取 代理 程式 


App 连接 器 


装置 用 户 端 


v 身分 识别 代理 v 装置 状态 vVPN 路 由 v 负载 均衡 


到 wa 一 | 
Eee 


IP 通道 py ss v 电子 邮件 安全 性 ~ DNS 节选 
LN sn v DDos 保护 v 分 析 


直接 连 线 
v 数位 朵 上 验 监 控 
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客户 评价 


/ClowaomhareM4ccess 人 是 合 人 囊 底 jy 镶 统 UPN 孝 休 方 禾 。 / 疾 己 币 疗 欣 认 部 葡 庆 方 历 : 4ccess 不 售 人 UPN 芯 第 
信用 考 欠 要 户 成 济 禹 名 闻 侠 人 A 即 可 TT :不 需要 下 喜 彻 训 祈 EE 
友人 喜 多 。J E/E 


一 Platzi (去 端 工程 主管 ) 一 Bitpanda (技术 长 兼 共 同 创 闪 人 ) 


/Cloudflare Access 及 肝 熔 供 态 助 ， 欧 知 崩 锡 所 私 压 / 疗 知 他 窒 作 Cloudflare 之 所 : 状 安 全 部 委 状 篇 一 他 
部 等 VPN 的 美 浴 家 艇 。 闪 当天 1 朋 77 计 起 构 世 部 乱 HI 洲 艇 ， 麻 用 种 翅 需要 捷 双 DI 沽 的 夺 局 。 序 了 Cloudflare Zero 
历 昌 部 千 的 和 芯 印 度 攀 蕊 世人 A 。/ Trust ’ 乱 邮 可 筋 澡 90%6 的 民居 。/ 


一 ezCater (网 路 安全 主管 ) 一 Creditas (网 路 工程 团队 主管 ) 


分 析 师 的 看 法 
三 |DC :KuUbppingercole 


ANALYSTS 


Cloudflare 在 2023 年 IDC MarketScape 中 效 评 为 Zero Cloudflare 在 2022 年 KuppingerCole Leadership 
Trust 网 路 存 取 (ZTNA) [领导 者 1 Compass 中 多 评 为 ZTNA [领导 者 J 


Cloudflare 因 [积极 的 产品 策略 可 支援 企业 安全 需求 」 而 KuppingerCole Analysts AG 在 2022 年 ZTNA 市 场 分析 中 ， 
多 得 1DC 的 表彰 。 我 们 认为 ， 我 们 获得 的 表彰 证 明了 我 们 列举 了 Cloudflare 的 若干 优势 ， 例 如 ， 完 全 整合 且 有 机 开发 
的 方法 可 以 帮助 任何 规模 的 企业 开始 使 用 Zero Trust ; 以 及 ”的 网 路 安全 平台 、 订 大 的 全 球 云端 基础 结构 以 及 巨大 的 市 场 估 
帮助 任何 使 用 者 在 没有 VPN 的 情况 下 安全 存 取 任 何 资源 。 有 率 。 
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Access 功能 


建立 /编辑 零 信 任 原则 以 实现 安全 存 取 


精细 化 自 订 存 取 原 则 集中 式 原 则 管理 体验 。 第 7 层 应 用 程式 获得 子 网 域 和 路 径 层 级 的 保 访 ,以 及 万 用 字 元 和 多 主机 名 称 支援 ， 
站 支援 CORS 要 求 。 只 需 短 短 数 秒 ， 原 则 变更 就 会 在 全 球 和 范围 内 激增 。 包 括 原则 测试 器 。 


资源 广度 : 资源 会 使 用 公共 主机 名 称 ， 在 自 旗 管 应 用 程式 (云端 /内 部 部 署 ) 或 浏览 器 内 SSH/VNC 实 作 反 向 代理 、 
我 们 保 访 的 内 容 及 方式 在 SaaS 应用 程式 实 作 身分 识别 代理 ， 或 透 过 私有 子 网 路 内 的 第 4-7 层 正 向 代理 * 任 何 Web 或 非 Web 
(例如 ， 任意 TCP/UDP) 立 源 ， 进行 基 於 用 户 端 / 通 道 的 私人 路 由 。 


透 过 所 有 主要 企业 和 社交 身分 识别 提供 者 (ldP) 进行 验证 ， 同 时 包括 多 个 IdP。 此 外 还 可 以 使 用 通用 的 
SAML 和 OIDC 连接 器 。 支 援 ( 逆 可 以 强制 执行 任何 IdP 提供 的 验证 方法 、 了 临时 验证 、 目 的 证 明 、 
基 於 全 球 或 每 个 应 用 程式 工作 阶段 的 重新 验证 间隔 ， 以 及 每 个 应 用 程式 或 每 个 使 用 者 的 即时 工作 附 段 


使 用 装置 用 户 端 和 协力 厂商 端点 保 访 提 供 者 (EPP) 整合 来 验证 
风险 评分 纳入 零 信任 原则 中 。 


原则 的 关联 式 讯号 设 定 讯 号 ， 如 电子 邮件 群 组 、IP 范围、 地理 位 置 、 登 入 方式 (例如 ，MFA 类 型 、IdP 类 型 ) 、 有 效 的 
mTLS 或 SSH 球 证 、 服 务 权 杖 、 序 号 清单 、 装 置 状态 属性 、 安 装 的 装置 用 户 端 、 工 作 阶 段 持续 时 间 、 
SWG 规则 强制 执行 或 来 自 外 部 API1 呼叫 的 讯号 。 还 可 以 直接 参考 Microsoft Entra ID (Azure AD) 条件 式 
存 取 原 则 。 


其 他 相关 支援 e SCIM : 自动 为 自 旗 管 和 SaaS 应 用 程式 (例如 ，Okta 和 Azure AD) 信 建 /取消 做 建 使 用 者 
e 内 部 DNS : 设 定 本 机 网 域 回复 站 解 析 私 人 网 路 要 求 
e 分 隔 通 道 : 包括 /排除 |P ,用 於 建立 私人 网 路 或 与 VPN 一 起 执行 
e mTLS 验证 : 基 於 兰 证 的 验证 ， 用 於 loT 和 其 他 mTLS 使 用 案例 


e 应 用 程式 隔离 : 只 需 一 个 核 取 方块 ， 即 可 在 我 们 快 如 内 电 的 过 端 浏览 器 中 隔 训 应 用 程式 * 
入 口 和 出 口 


App 连接 器 简单 协调 我 们 的 轻 量 级 应 用 程式 连接 器 (Cloudflare Tunnel) ， 可 加 速 将 资源 连 线 至 Cloudflare ， 既 不 需要 
VM 基础 架构 ， 也 没有 输送 量 限制 。 包 括 监 控 、 虚 所 网 路 (针对 IP 重 里 ) 以 及 人 备 援 和 容错 移 转 功 能 。 
装置 用 户 端 : e 无 用 户 端 : 将 零 信任 原则 扩展 至 未 受 管 装置 上 的 协力 厂商 使 用 者 ; 同时 与 无 用 户 端 RBI1 和 第 7 层 DLP 
何 时 使 用 原则 良好 搭配 *。 和 无 用 户 端 存 取 支 援 Web 应 用 程式 和 浏览 器 内 SSH/VNC 。 
e 基 於 用 户 端 : 我 们 的 装置 用 户 端 (Cloudflare WARP) 将 安全 存 取 扩展 至 私人 网 路 ， 支 援 服务 到 服务 装 
置 状态 整合 ， 站 且 和 能够 感知 位 置 ， 以 针对 内 部 部 署 使 用 者 套用 定制 原则 。 还 可 以 连 线 任意 两 个 或 更 多 
执行 WARP 的 装置 来 建立 私人 网 路 。 使 用 者 可 以 自行 广 册 ， 也 可 以 透 过 MDM 进行 部 署 。 


可 扩展 性 和 可 网 度 


上 传 封锁 和 应 用 程式 启动 器 画面 的 自 订 HTML ， 来 适应 您 的 品牌 形象 或 传达 特定 的 存 取 褒 明 ， 从 而 简化 
终端 使 用 者 删 验 。 


全 面 记 钞 所 有 要 求 、 使 用 者 和 装置 。 可 以 使 用 logpush 或 API 与 现 有 SIEM、 协 调和 分 析 工 具 整 合 。 人 针对 
未 知 资产 ， 我 们 用 於 内 部 基础 架构 的 影子 IT 会 被 动 地 将 公开 所 有 来 源 的 独特 流量 分 类 。 


直觉 化 API 和 Terraform 提供 程式 可 用 於 以 程式 设计 方式 管理 零 信任 实 作 的 所 有 方面 。 示 会 为 自动 化 服 
务 提 供 无 使 用 者 服务 权 杖 支援 。 


全 Fe1o Trust 严 台 的 纂 骨 部 分 使 肝 功 雍 
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为 什么 玩 择 Cloudflare ? 


CD 说 29 


轻 县 设 定 和 管理 顺 蝎 的 永 这 连 线 体验 早期 控 用 者 的 快速 创新 


透 过 应 用 程式 连接 器 软 笨 和 通道 协调 坏 助 Cloudflare 的 全 球 Anycast 技术， ”大 助 提供 者 ， 在 创新 方面 不 断 地 超过 
流程 ， 从 根本 上 简化 私有 资源 人口 流 实现 终端 使 用 者 最 高 效能 和 网 路 服务 中 同 傅 ， 访 应 用 程式 存 取 更 快速 、 更 安全 ; 
量 的 设 定 和 作业 。 断 复原 能 力 ， 从 而 确保 可 靠 性 。 从 而 跟 上 网 际 网 路 本 身 的 发 展 。 


、 ， 尚未 准备 好 开始 一 场 即 
我 们 来 言 论 一 下 适用 於 您 组 织 的 简 二? 
单 安全 的 存 取 人 


SASE 平台 
请 研讨 会 
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1. ”2023 调查 : techvalidate.com/product-research/cloudflare/charts 
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